Comment la direction financière peut protéger les données de l’entreprise

Article paru le 29 juin 2017 | Partager sur les réseaux sociaux

Classé dans : Newsletter Gestion Tribune

Détournement de données sensibles, espionnage industriel, altération des systèmes… La transformation digitale et l’évolution croissante des données font peser sur les entreprises des risques pouvant impacter leur intégrité et leur solidité face aux organismes financiers, aux autorités de régulation mais également vis-à-vis de leurs investisseurs et de leurs clients.

La cyber sécurité sous toutes ses formes

Le caractère sensible et attractif des données qu’elle traite mais également son expertise dans l’évaluation des risques, confère à la fonction finance un rôle central dans le cadre des actions visant à réduire le niveau d’exposition de l’entreprise.
Au moins 500 millions de comptes utilisateurs ont été compromis, tel est le résultat de la cyberattaque dont Yahoo a été victime de 2014 à 2016. Elle est considérée à ce jour comme l’une des attaques les plus importantes jamais menée dans le monde. L’impact a été immédiat et a fragilisé la vente de son cœur de métier au géant américain des télécoms Verizon.

A la source de ce type de fraude, de l’individu isolé au groupe organisé, leurs actions sont menées pour atteindre un ou plusieurs objectifs :

  • Récupérer des données sensibles pour les revendre ou les détourner (données bancaires, documents clients…)
  • Capter les informations stratégiques (vol de propriété intellectuelle)
  • Altérer ou détruire le fonctionnement d’un système, provoquant l’arrêt ou le ralentissement de l’activité
  • Communiquer des contenus confidentiels ou qui portent atteinte à l’image de l’entreprise victime

Cette attaque est le parfait exemple que les conséquences de ces fraudes ne se traduisent pas uniquement par le coût de remise en œuvre technique des systèmes d’information. Ce qui explique également que nombre d’entreprises ne dévoilent pas les attaques dont elles sont victimes.

  • Montant de la perte financière (vol d’actifs financiers, pertes de données sensibles)
  • Dépense totale une fois l’attaque rendue publique (protection clients, action en justice, audits, relation publique)
  • Coût de la baisse ou de l’interruption d’activité
  • Corrections des systèmes (mobilisation des ressources, coûts informatiques)
  • Amende à payer dans le cadre du non-respect des normes en vigueur
  • Investissement pour accroître le niveau de cyber sécurité

Anticiper les risques pour mieux les maîtriser

Lors de la détection d’une attaque, il est crucial de réagir immédiatement pour limiter sa portée. Détenir en amont une perception consolidée des risques est le premier objectif à atteindre et peut se traduire par :

  • Améliorer la visibilité du risque dans l’organisation en construisant une cartographie des risques. La DSI doit disposer d’une vision globale des informations souvent dispersées dans les systèmes d’information.
  • Anticiper et organiser une réponse directe au problème par le renforcement des procédures internes et la mise en place de contrôles automatisés, d’indicateurs de performance et de tableaux de bord utiles à la direction financière.
  • Mettre en place des outils adaptés afin de cibler et de suivre les risques de fraudes et les fraudes avérées.
  • Sensibiliser et informer les collaborateurs en interne afin de diffuser les bonnes pratiques (actualisation des mots de passe, ouverture de mails frauduleux etc.)

5 à 10 % du budget d’une entreprise devrait être consacré à la cyber sécurité

Dans un monde en pleine mutation numérique, une entreprise qui se veut agile et adaptable devra considérer la cyber sécurité comme un avantage concurrentiel et un axe de croissance. La gestion du risque cyber s’inscrit dans une stratégie plus globale visant à :

  • Accroître la performance et la sécurisation des processus de l’entreprise
  • Améliorer la compréhension de sa situation stratégique
  • Affiner la prise de décisions grâce à des données fiables
  • Perfectionner la gestion des projets quel que soit leur nature
  • Se démarquer de la concurrence par une approche innovante et une image de confiance.

Les Directions Financières auront tout à gagner en accordant à la gestion du risque cyber une place centrale et notamment dans l’expectative de l’application en 2018 de la réglementation européenne General Data Protection Regulation (GDPR) qui amènera un cadre étendu à la protection des données personnelles. L’objectif sera d’amener les entreprises vers plus de suivi et de transparence quant aux données dont elles disposent.

Tribune de Camille Anezo, consultante mc2i Groupe

Lire la tribune sur le site : Daf Mag

Partagez cet article sur les réseaux sociaux